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摘 要 : 针对 工业 控制 网 络 中 典型 的 攻击 类 型 ， 提 出 一 种 利用 深度 学 习 预 测 工控 网 络 通信 异常 的 方法 。 首 先 ， 利 用 主 
成 分 分 析 方 法 对 原始 数据 降 维 ， 消 除 原始 数据 集 的 相关 性 ; 其 次 ， Eee 
惯性 质量 计算 思想 改进 的 鱼 群 算 法 来 优化 极限 学 习 机 的 输入 权 值 和 阅 值 。 测 试 实验 结果 表明 ， 异 常 检测 的 准确 率 有 所 
提升 ， 同 时 有 效 地 缩短 了 检测 时 间 ， 实 现 了 利用 深度 学 习 预 测 工控 网 络 通信 异常 的 行为 。 
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Improved method of optimal fish swarm optimization for industrial control network 
communication anomaly detection 
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Abstract: Aiming at typical attack types of industrial control networks, this paper proposed a method of predicting 


communication anomalies in industrial networks using deep learning. First, the principal component analysis of the raw data 


reduction and eliminated the correlation between the original data set. Secondly, build artificial neural networks and to optimize 


the input weights and threshold limits the use of machine learning. The fish swarm algorithm was improved by the idea of 
particle inertia mass calculation in the gravitational search algorithm. The test experiment results show that the accuracy of 
anomaly detection is improved, and the detection times are effectively shortened. And realizes the purpose of making use of the 
depth learning to predict the abnormal behavior of communication in industrial networks. 
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议 类 型 的 入 侵 检测 技术 。 

工业 和 信息 安全 领域 的 国内 外 学 者 现在 正 针 对 工业 控制 系 
工业 控制 系统 对 实时 性 要 求 高 ， 没 有 充足 的 升级 资源 和 安 统 的 异常 检测 进行 研究 ， 但 是 对 于 异常 检测 的 相关 研究 尚 处 于 
保 功 能 , 并 且 必 须 具 有 容错 能 力 , 不 能 停机 或 重启 趾 。 工控 系统 。 起 步 阶段 。 尚 文 利 等 人 外 提出 了 一 种 基于 OCSVM 算法 的 入 侵 
中 的 监控 网 络 用 来 控制 信息 和 操作 信息 的 通信 问题 ， 通 常 采 用 ”检测 模型 ， 并 将 粒子 群 算法 应 用 其 中 ， 提 高 了 系统 的 准确 性 。 
传输 层 的 TCP、UDP 协议 。 然 而 传输 层 的 协议 未 考虑 安全 性 ， ”Yang 等 人 四 提出 将 误 用 与 异常 结合 的 入 侵 检测 机 制 ， 首 先 根据 
ee tate 中 间 人 人 攻击、 内 部 人 攻击 和 端口 扫 措 入 侵 行为 特征 库 快 速 识别 未 授权 访问 等 已 知 攻击 ;然后 采用 基 
攻击 等 。 传 统 的 网 络 入 侵 检测 在 流量 过 滤 和 监测 时 存在 细 粒 度 ”于 神经 网 络 的 异常 检测 机 制 ， 实 现 对 未 知 攻击 的 入 侵 检测 。 这 
oy 协议 类 型 不 兼容 和 在 复杂 的 工业 环境 中 无 法 防御 中 间 人 ”种 方法 可 大 幅度 地 提升 IDS 检测 效率 。 侯 重 远 等 人 四 提出 了 基 
或 内 部 人 攻击 中 等 问题 ， 因 此 不 能 将 传统 入 侵 检 测 技术 套用 在 。 ”于 概率 主 成 分 分 析 法 的 工业 网 络 流量 异常 检测 方法 ， 建 立 了 工 
工业 环境 的 入 侵 检测 中 ， 需 要 制定 针对 工业 控制 系统 环境 和 协 ” 业 控 制 网 络 流量 矩阵 的 概率 主 成 分 分 析 法 模型 ， 有 效 降低 了 误 
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报 率 。 但 这 种 方法 仅 在 攻击 流量 特征 与 正 


的 情况 


为 的 特征 数据 的 提取 ， 组 成 机 器 学 习 的 
本 集 ， 利 用 机 器 学 习 方法 建立 异常 行为 入 侵 检测 模型 。 


常 业务 类 型 差异 较 大 

才 具 有 指导 意义 。Zhou 等 人 [9 通过 对 工控 系统 通信 行 
| 练 样本 集合 来 测试 样 

Aburo 


mman 等 人 中 提出 一 种 新 的 组 合 SVM(support vector machine)- 


KNN(K-nearestneighbor)-PSO(particle swarm optimization) 方 法 
的 入 侵 检测 系统 ， 利 用 PSO 算法 对 权重 进 


行 优化 ， 组 合 SVM 


法 的 设计 与 


在 
NA/ 


和 KNN 这 两 种 分 类 方法 来 获 
没有 充分 的 考虑 工控 系统 实时 性 的 影响 。 
本 文 重 点 阐述 了 主 成 分 分 书 


取 更 好 的 入 


ysis,PCA)、 基 于 万 


受 检 测 


精度 。 但 该 方 


[算法 (principal component anal 


引力 搜索 算法 (gravitation search algorithm, 


GSA) 的 人 工 鱼 群 算法 (artificial fish swarm algorithm,AFSA) 以 


及 人 工 神经 网 络 在 工业 控 表 


网 络 通信 异常 检测 方 


通过 PCA 对 原始 数据 进行 预 处 理 , 消除 变 


量 之 间 


的 元 余 性 和 相 


关 性 ， 较 大 程度 上 为 人 工 


经 网 络 的 训练 莫 定 J 


础 ， 有 利于 提升 训练 结果 


提高 了 算法 的 
输入 权 值 和 羡 


值 进 行 优 化 后 


的 精度 和 稳定 性 。 


改进 


面 的 研究 工作 。 


ChinaXiv 合 作 其 
工业 控制 网 络 通信 异常 检测 的 改进 鱼 群 算法 优化 方法 


陈 万 志 ， 等 : 


1.2 通信 异常 行为 的 特征 选择 
通信 数据 中 异常 通信 数据 情况 较为 单一 、 样 本 数量 较 少 。 
前 工业 控制 网 络 环境 , 本 文 针 对 以 下 攻击 类 型 进行 分 析 。 
1)DoS 攻击 ”由 网 络 协议 本 身 的 安全 缺陷 造成 ， 最 常见 的 
DoS 攻击 是 利用 合理 的 服务 请 求 来 占用 过 多 的 服务 资源 ， 致 使 
服务 超载 ， 无 法 响应 其 他 的 请 求 。 这 些 资源 包括 网 络 带 宽 、 文 
件 系统 空间 容量 、 开 放 的 进程 、 内 向 的 连接 等 。 这 种 攻击 会 导 
致 系统 资源 的 匮乏 。 设 法 远程 或 本 地 访问 通信 基础 设施 的 攻击 
者 可 以 通过 淹没 与 虚假 流量 的 关键 链 路 或 者 通过 使 关键 网 络 设 
备 的 计算 资源 饱和 来 启动 拒绝 服务 (DoS ) 攻击 , 如 路 由 器 或 计 
量 现场 设备 。 这 种 攻击 导致 来 自 现场 设备 的 实时 测量 数据 被 延 
迟 或 最 差 丢 弃 [9。 

2) 端 口 扫描 描 攻 击 是 远程 用 户 (R2L) 攻 击 的 第 一 
步 。 其 目的 是 知道 哪些 系统 端口 是 开放 的 。 这 是 基于 网 络 入 侵 
的 


根据 


~ 


兹 


较 好 的 数据 基 


I 基本 步 又 ,通过 这 次 攻击 ,攻击 者 可 以 发 现 一 些 潜 在 的 漏洞 ， 


的 人 工 鱼 群 算 


法 避免 了 神经 网 络 初 始 输入 权 值 和 闵 值 的 随机 性 
自 适应 能 力 和 优化 精度 。 通 过 对 
使 得 ELM 模型 


精度 ， 同 时 减少 言 


寻找 产生 的 训练 时 间 


络 通信 异常 行为 预测 模型 有 更 好 的 泛 化 性 


AFSA-ELM 


行为 预测 模型 可 以 对 异常 行为 的 预测 进行 1 


经 网 络 的 初始 


时 有 效 地 


了》 后 


的 延长 
能 。 因 


(extreme learning machine) 的 工控 


1 ”工业 控制 网 络 异常 检测 的 原理 


1.1 


通信 和 异常 检测 思想 


年 来 ， 工 业 控 制 系统 为 了 便于 企业 


有 更 高 的 预测 
， 使 得 工控 网 
此 PCA-GSA- 


村 


央 速 高 


网 络 通信 噶 常 


效 的 预测 。 


统 与 底层 工业 控制 网 络 互 连 互 通 ， 用 


的 计算 机 Windows 相关 应 月 


程序 监控 工业 控制 


备 运行 参数 ， 以 及 获取 服务 器 上 的 生产 数据 。 


因此 ， 依 据 其 特点 采用 如 图 


测 模型 , 在 管理 信息 网 络 中 月 


有 户 客户 端 与 


络 的 深度 学 习 检测 环节 ， 利 ) 


j 通 信 数 据 特 


服务 器 的 通信 蜡 常 行为 ， 进 
间 。 


征 ， 检 


管理 ， 将 上 层 管理 系 
户 通过 企业 管理 信息 网 中 


网 中 的 工业 设 


1 所 示 的 体系 结构 构建 异常 检 
Web 服务 器 间 的 路 
器 上 加 入 主 成 分 分 析 方 法 、 改 进 的 鱼 群 算法 以 及 ELM 


神经 网 


通过 该 漏洞 侵入 系统 。IDS 可 以 使 用 源 地 址 、 目 的 地 址 和 端 
口号 识别 数据 包 的 模式 。 但 是 潜行 扫描 攻击 (如 慢 速 端口 扫描 ) 
很 难 找 出 ， 因 为 缓慢 的 端口 扫描 攻击 与 正常 活动 非常 相似 中。 

3) 中 间 人 攻击 ”通常 分 布 在 一 些 通信 线路 没有 很 好 的 物理 
保护 的 地 方 。 攻 击 者 可 以 通过 选择 性 地 删除 或 修改 从 现场 设备 
(控制 器 ) 发 送 的 传感器 数据 (控制 信和 号) 来 发 起 中 间 人 攻击 ， 
从 而 损害 可 用 性 和 完整 性 的 消息 交换 。 重 播 攻击 是 中 间 攻 击 的 
另 一 种 形式 : 嗅 探 通 信 通 道 的 攻击 者 可 以 复制 测量 数据 或 控制 
命令 ， 然 后 转发 它们 。 中 间 人 对 测量 数据 的 攻击 主要 是 在 攻击 
持续 存在 的 情况 下 有 效 。 这 是 因为 系统 是 动态 系统 ， 即 测量 数 
据 被 新 的 一 组 测量 持续 刷新 。 因 此 ， 单 个 中 间 人 攻击 的 效果 可 
以 忽略 不 计 ， 特 别 是 对 于 每 秒 刷新 几 次 的 同步 测量 ， 相 反 ， 对 
控制 信号 的 单一 攻击 可 能 是 灾难 性 的 09。 
4) 内 部 攻击 ”内 部 攻击 通常 分 为 两 种 情况 : a) 内 部 人 员 使 
用 他 们 的 合法 访问 来 执行 与 安全 策略 相 违 背 的 某 些 操作 ， 如 敏 
感 数据 泄露 给 某 些 第 三 方 ， 若 此 时 访问 资源 被 允许 和 阻止 时 ， 
则 可 能 发 现 违规 操作 源 ，B) 内 部 人 员 以 访问 控制 的 安全 策略 的 
方式 ， 使 用 他 们 的 访问 来 扩展 其 权限 ， 当 用 户 可 能 具有 登录 特 


到 


测 管理 网 络 与 


步 提升 准确 率 ， 有 效 缩短 检测 时 


PCA 


GSA-AFSA 


系统 架构 模型 


定 系统 的 合法 能 力 ， 并 滥用 该 权限 以 获取 对 系统 的 非法 级 别 访 
问 0D 。 

本 文 在 设计 异常 检测 方法 时 ， 结 合 了 每 类 攻击 
立 入 侵 检 测 系 统 模型 。 


的 特点 ， 建 


2 PCA-GSA-AFSA-ELM 的 工控 网 络 异常 行为 预测 
模型 

2.1 GSA-AFSA 算法 

2.1.1 砚 食 行为 
人 工 鱼 总 按 式 (1) 在 视野 visual 内 随机 产生 一 个 状态 号 5。 


X;=X,+(2:rand —1).visual 


(1) 


存在 状态 名， … ,天 (Vv<try number) 的 适应 值 
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ff 三 1,2,...,v)。 其 中 , f( 本 1,2,.….,v) 的 最 大 适应 值 为 flXpesw) 。 下 
掉 对 各 个 状态 卫 , 名 ,…, 名 (v<try_number) 进行 惯性 质量 计算 : 


m( X)= XIAOX,) 
f( Xi )— F(X;) 
(k=1,2,.,v) 0) 


Mi(X)=m(X)/ Ym(X) 


这 样 状态 钱 的 适应 值 fx 的 大 小 决定 了 惯性 质量 MB 的 
大 小 , 适应 值 越 大 , 粒子 惯性 质量 越 大 , 粒子 越 趋向 于 最 优 解 。 
以 粒子 惯性 质量 作为 权重 ， 计 算 加 权 后 的 中 心 位 置 。 


X= Dm X)X (3) 


状态 素 的 适应 值 fCXy 越 大 ,加 权 后 的 中 心 位 


越 偏向 马 。 


如 果 fC >fCX)， 人 工 鱼 名 按照 式 (4) 向 下 一 个 状态 on 移动 。 
Xs =X, 人 Je12C() step (4) 


相反 ,随机 尝试 次 数 try_numpber 后 ,如 若 仍 然 不 满足 前 进 条 件 ， 
则 执行 随机 行为 。 


2.1.2 聚 群 行为 
当前 人 工 鱼 总 在 视野 visual 范围 内 探索 的 伙伴 数目 为 P， 
对 其 伙伴 (三 1,2,….,p) 按 照 式 (5) 计 算 权 重 ， 得 到 加 权 后 的 中 心 


位 置 。 


区 = Dm(x)X, (5) 


如 果 f(Xo) /XY， 人 工 鱼 天 按照 式 (6) 向 下 一 个 状态 Xrew 移 
动 。 


X. 一 X， 
=X,+———— :rand(). step 
Tx =x (0) 


相反 ,随机 尝试 次 数 try_number 后, 如若 仍然 不 满足 前 进 条 件 ， 
则 执行 随机 行为 。 

2.2 GSA-AFSA 算法 优化 的 ELM 

于 ELM 初始 输入 权 值 和 立 值 是 随机 确定 的 ， 训 练 的 精度 
和 时 间 都 会 受 随机 性 的 影响 , 所 以 需要 采用 GSA-AFSA 算法 对 


ELM 初始 输入 权 值 和 阔 值 进行 优化 , 从 而 避免 盲目 训练 人 工 神 
经 网 络 。 


在 本 文中 用 GSA-AFSA 算法 优化 极限 学 习 机 中 的 权 值 和 
闪 值 ,建立 工业 控制 网 络 通信 异常 行为 检测 的 GSA-AFSA-ELM 
模型 。 该 算法 的 具体 步骤 03 如 下 : 


a) 算 法 参数 初始 化 设置 。 鱼 群 规模 N、 视 野 visual、 步 长 
step、 最 大 友 代 次 数 T、 尝 试 次 数 try-number、 拥 挤 度 5 等 。 


b) 初 始 化 种 群 。 将 极限 学 习 机 的 输入 权 值 和 阔 值 作为 GSA- 


GhinaXkiy 合 作 基 十 | 
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AFSA 算法 的 人 工 鱼 ， 长 度 为 D=KkKXn+lH)。 其 中 ， 隐 含 层 节点 
数目 ,输入 向 量 维 数 n。0” 为 种 群 中 的 第 m(1<m<popsize) 个 人 
工 鱼 。 


0 = [wi wpe Wiks Wy Wo WR Wa 
wr Wa br Be ,be ] (7) 
其 中 :wi 、2b” 为 [-Xmax,Xmax] 中 的 随机 数 ， 一 般 Xmax=1。 将 
ELM 的 训练 样本 的 均 方 根 误差 函数 作为 适应 度 函 数 , 计算 人 工 
鱼 的 适应 度 值 ， 并 将 最 优 个 体 的 位 置 及 食物 浓度 记录 在 公告 板 
站 5 


c 人 工 鱼 的 行为 选择 。 


(a) 疯 食 行为 。 人 工 鱼 Xt 按 式 (1) 在 视野 visual 内 随机 产生 
一 个 状态 邓 , 将 比 当前 位 置 及 食物 浓度 更 高 的 粒子 按 式 (2) 计 算 
权重 , 同时 按照 式 (3) 获 得 加 权 后 的 中 心 位 置 Xc。 如 果 中 心 位 置 
的 食物 浓度 相 比 于 当前 位 置 的 食物 浓度 更 高 且 不 拥挤 ， 则 向 前 
移动 一 步 ， 相反 ， 执 行 随机 行为 。 


tr 


(b) 聚 群 行为 。 当 前 人 工 鱼 Xt 在 视野 visual 范围 内 探索 的 
伙伴 数目 为 p， 对 其 伙伴 按照 式 (5) 计 算 权 重 ， 得 到 加 权 后 的 中 
心 位 置 Xc。 如 果 中 心 位 置 的 食物 浓度 相 比 于 当前 位 置 的 食物 浓 
度 更 高 且 不 拥挤 ， 则 向 前 移动 一 步 ， 相 反 ， 执 行 疯 食 行为 。 


(c) 追 尾行 为 。 当 前 人 工 鱼 Xt 在 视野 visual 范围 内 探索 食 
物 浓 度 最 高 的 伙伴 并 判断 它 的 周围 是 否 拥挤 ， 如 果 成 立 ， 就 向 
前 一 步 ， 和 否则， 执行 砚 食 行为 。 


(d) 随 机 行为 。 当 前 人 工 鱼 Xt 在 视野 visual 范围 内 随机 选 


择 一 个 位 置 ， 向 前 一 步 。 


ey 


d) 更 新 公告 板 。 将 当前 最 优 的 人 工 鱼 记录 到 公告 板 。 


e 帮 代 次 数 加 一 ， 返 回 步骤 )， 直 到 和 迭代 次 数 大 于 设置 的 
最 大 迭代 次 数 。 


有 将 公告 板 上 的 最 优 人 工 鱼 输出 代入 式 (8) 中 , 利用 ELM 算 
法 训练 SLFNs， 输 出 网 络 通信 指标 预测 值 。 


p=Hi:T (8) 
其 中 : 五 为 隐 含 层 输出 矩阵 ，7 为 神经 网 络 的 输出 为 输出 
权重 ; H! 为 广义 道 。 
GSA-AFSA 算法 能 有 效 地 避免 鱼 群 算法 过 早 收敛 到 局 部 
极 值 ， 提 高 了 算法 的 收敛 精度 ， 算 法 的 稳定 性 得 到 改善 。 


2.3 PCA-GSA-AFSA-ELM 工控 网 络 异常 行为 预测 模型 
PCA-GSA-AFSA-ELM 预测 模型 工作 流程 如 图 2 所 示 。 
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开始 
import numpy as np 
输入 异常 检测 的 m 个 指 
标 ， 得 到 a Xo import pandas as pd 
对 原始 数据 进行 标 rai 标准 化 矩阵 Xi from sklearn.decomposition import PCA 
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RR 系数 矩阵 R 


计算 特征 根 : > (i=1,2,"*,m) 
特征 向 量 : e， (i=1,2,* i 
v 


| “计算 主 成 分 贡献 率 确定 主 成 分 个 数 


计算 主 


成 分 得 分 建立 ELM 学 习 样 本 


M2 
输入 GSA-AFSA 学 习 样本 


yy 
初始 化 鱼 群 算法 参数 以 及 公告 板 


改进 的 聚 群 行为 


将 优化 后 权 值 和 阔 值 代入 ELM 训 练 SLFNS 


网 络 通信 指标 预测 值 


法 求解 流程 


图 2 


3 ”测试 与 结果 分 析 


3.1 算法 有 效 性 验证 
3.1.1 实验 数据 描述 


实验 选用 的 数据 集 为 异常 检测 领域 广 
据 集 。 训 练 集 和 测试 集 分 别 包 含 494 021 条 和 


采用 的 KDD99 数 


311 029 条 数 


据 。 其 中 包括 正常 数据 和 攻击 数据 ， 主 要 包括 PROBE(probing 
attack)、DOS(denial of service attack)、U2R(user-to-root atta 


ck) 和 R2L(remote-to-login attack) 四 大 类 攻击 。 


nT 


41 维特 征 ， 其 


P 最 后 一 列 为 标签 属性 。 


3.1.2 实验 环境 和 参数 设 定 
测试 实验 硬件 为 Intel core i3-5005U CPU 
系统 为 Windows7 站 牛 为 MATLAB 201 


每 条 记录 包含 


2.00 GHz， 操 作 
Sb, Python 2.7.13 。 


货 舰 版 , 软 
首先 ， 上 文 根 据 工 业 控制 系统 通信 信息 进 
取 ， 利 用 python 软件 对 494 021 个 样 


选 


本 12 个 特性 (9 进行 3 


行 入 侵 检测 特征 


出 


成 分 分 析 。 通 过 计算 累计 贡献 率 即 可 最 终 确 定 提 取 主 成 分 个 数 。 


提取 主 成 分 之 后 ， 


公式 计算 得 到 主 成 分 载荷 


及 主 成 分 得 分 。 


比较 每 一 个 主 成 分 对 应 的 各 个 原始 特性 的 载荷 


， 载 荷 越 大 ， 对 


应 的 主 成 分 反映 的 该 原始 特性 的 信息 量 就 越 大 。 


最 后 提取 了 10 


个 主 成 分 反映 的 主要 原始 特性 信息 。 相 应 用 python 实现 PCA 


的 伪 代 码 如 下 : 


file=pd.read csv(filename'sep=' names=names,low memory=False) 


表 1 为 10 个 主 成 分 反映 的 主要 原始 特性 。 


表 1 主 成 分 反映 的 主要 原始 特性 


主 成 分 反映 主要 原始 变量 

1 连接 持续 时 间 

2 办 议 类 型 

3 标 主 机 的 网 络 服 务 类 型 

4 从 源 主机 到 目标 主机 的 数据 字 节 数 

5 从 目标 主机 到 源 主 机 的 数据 字 节 数 

6 是 否 成 功 登 录 

7 ”过 去 2 s 内 ,与 当前 连接 具有 相同 服务 的 连接 数 

8 ”过 去 2 s 内 ， 与 当前 连接 具有 相同 的 目标 主机 的 连接 数 

9 ”前 100 个 连接 中 ， 与 当前 连接 具有 相同 目标 主机 相同 源 端 口 的 连接 
所 占 的 百分比 

10 ”前 100 个 连接 中 ， 与 当前 连接 具有 相同 的 目标 主机 相同 服务 的 连接 


数 


在 MATLAB 环境 下 ， 利 
经 网 络 。 ee 
层 神经 元 个 数 为 10， 
为 5， 分 另 sa ahs DoS 攻击 、U2R 攻击 、 
攻击 、Probe 攻击 。 对 应 的 神经 网 络 拓扑 如 图 3 所 示 。 


] GSA-AFSA-ELM 算法 训练 神 
泛 的 3 层 单 向 前 馈 型 神经 网 络 ， 输 入 
含 层 神经 元 个 数 为 30， 输 出 层 神经 元 
R2L 


Et 


( Duration 
人 Protocal 
ee Normal ) 


( Service 


(Sre_bytes) 


(Dst_bytes 


到 3 ”神经 网 络 拓 扑 图 


本 文 鱼 


群 寻 优 部 分 迭代 最 大 次 数 为 100 次 ， 每 次 迭代 过 程 


中 记录 其 色 


群 适应 度 方差 。 适 应 度 方差 曲线 比较 如 图 4 所 示 。 
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从 图 4 中 可 以 看 出 ，AFSA-ELM 的 方差 在 迭代 20 次 陷入 最 小 3.1.3 实验 结果 分 析 

值 ，GSA-AFSA-ELM 和 迭代 81 次 寻 到 最 优 解 ， 跳 出 了 局 部 最 算法 训练 的 次 数 对 算法 的 检测 准确 率 存 在 影响 ， 文 中 对 比 

优 陷阱。 了 GSA-AFSA-ELM、AFSA-ELM 和 ELM 这 三 种 算法 ， 如 表 
2 所 示 ， 本 文 方法 在 训练 次 数 和 精确 程度 上 都 有 明显 优势 。 


pa 


sel ei 表 2 各 方法 的 训练 次 数 及 对 应 的 检测 率 
3| ， ] 方法 训练 次 数 检测 率 /% 
描 25[ 和 ] 本 文 方法 22 80.07 
. 2 | : | AFSA-ELM 36 70.13 
sh | ELM 47 68.27 
Ee | 现 将 该 模型 与 AFSA-ELM、ELM、BP 模型 进行 对 比 研 
05| i ] 究 ， 利 用 训练 集 和 测试 集 对 其 进行 训练 ， 并 产生 预测 结果 。 对 
er 比 结果 如 图 6 所 示 。 


0 10 20 30 40 50 6o 70 80 90 100 
进化 次 数 /次 
轩 4 适应 度 方差 曲线 比较 


图 5 所 示 为 AFSA-ELM 与 GSA-AFSA-ELM 算法 性 能 对 


一” 比 ,。 本文 提出 的 GSA-AFSA-ELM 算法 训练 23 次 时 达到 误差 最 —@— AFSAELM 


— 重 一 ELM 


小 值 ， 其 值 为 0.05; 然而 AFSA-ELM 算法 训练 36 次 时 达到 误 
差 最 小 值 ， 其 值 为 0.15。 因 此 在 本 文中 提出 的 GSA-AFSA-EL 
M 算法 提高 了 收敛 的 精度 ， 有 效 避 免 了 早期 收敛 。 


检测 率 /% 


GSA-AFSA-ELM 
AFSA-ELM 


测试 样本 占 总 样本 的 百分比 /% 


图 6 四 种 算法 检测 率 比 较 

| 相 比 于 BP 神经 网 络 ，ELM 极限 学 习 机 算法 学 习 速度 

| 快 、 泛 化 性 能 好 。 图 7 为 四 种 模型 训练 时 间 的 对 比 。 经 过 GS 

A-AFSA 算法 优化 后 的 ELM 训练 时 间 为 3.421 9 s， 而 单纯 的 

r= 和 ELM 训练 的 时 间 为 3.468 8 s， 产 生 训 练 时 间 上 的 差距 主要 由 
于 单纯 的 ELM 训练 过 程 输入 权 值 和 阔 值 是 随机 的 ， 为 提升 巴 

图 5 训练 误差 比较 测 结果 的 精度 和 决定 系数 ， 需 要 反复 训练 寻找 满足 要 求 的 参 

经 GSA-AFSA 算法 寻 优 后 ， 将 公告 板 上 最 优 的 人 工 鱼 的 数 。 这 种 较为 盲目 随 的 训练 方法 增长 了 训练 时 间 。 
位 置 及 食物 浓度 输出 ， 对 应 的 神经 网 络 的 输入 权 值 和 闭 值 为 


{ 01745 0.0526 07671 0.1806 -02977 0.0169 03406 0.3490 -0.J118 -0.1044 ) -0.1101 3.55 ， 
| 02372 -00427 -0.4354 0.3969 0.1277 -0.2452 -0.1161 0.1263 0.3994 0.0476 0.1601 
| 02998 -03968 -04702 -0.1960 -03803 -0.1342 -0.0517 0.2985 -0.1803 0.3922 0.7051 
| 02282 0.6711 -0.1860 0.1774 -0.1005 -0.6716 -0.2957 -0.5644 -0.2015 0.0281 -0.4495 
| 01569 -0.7648 0.3801 -0.0163 0.1249 -0.0823 -0.2818 0.4714 0.9126 -0.5780 -0.1408 
| 03533 02521 0.1053 0.0421 -0.7516 -0.6069 0.0723 0.3689 0.5701 -0.0152 0.2426 
| 03460 -04054 03804 O1104 -0.1984 0.5753 -0.6607 0.0607 -0.1597 0.0114 -0.0830 3.5 上 ]] 
0.0578 0.2673 03716 -0.3078 0.0125 0.1512 0.3332 0.7610 0.3159 0.5274 0.0090 
0.4688 0.1066 -0.1159 0.2283 0.5569 -0.1141 -0.4298 -0.6029 0.0717 0.0035 -0.0140 
05134 O1484 0.1361 -0.2548 0.0757 0.1166 -0.1085 0.0619 0.1125 0.0740 0.2732 
| -03094 -03013 0.0236 0.4005 -0.9425 0.2336 -0.4223 -0.0154 -0.4791 -0.3126 0.4345 E 
| 01307 -1.0000 0.0653 0.1301 -0.5506 0.2747 0.4449 -0.4194 -0.1802 -0.1544 -0.0028 上 4 
| -02778 0.5477 -0.1157 0.0926 -0.5096 -0.2772 0.3016 -0.1378 -0.6413 0.6775 -0.3394 避 
| -00720 -0.0465 0.4065 -0.0009 -0.1098 -0.2322 0.2401 0.0830 0.3888 -0.5904 0.4204 过 
| 01061 -04539 0.0553 -0.0807 0.4990 0.4611 -0.0578 -0.0979 0.3864 0.0707 b= -0.2138 
8 一 | p009s5 04706 -01773 03875 -0.1418 0.3256 -0.8883 -0.5249 0.0984 W1634 一 | -07527 
| -02110 -0.7502 0.0466 0.0280 -0.1265 -0.8993 0.2321 -0.3488 0.5379 00165 0.3223 
| -00295 -0.9324 0.0569 -0.3457 -0.0132 -0.3400 -0.5292 0.0903 0.4088 0.2174 0.2356 24 ] 
| -04591 0.3205 -0.5345 0.7530 -0.2207 -0.1696 0.2479 -0.1120 0.4486 0.2260 0.4899 
| 01156 01383 -0.1154 -0.3431 -0.4325 -0.4067 0.6442 -0.3704 -0.1275 -0.3960 O4109 
| -00487 0.0696 0.1102 0.4951 -0.2189 0.0094 0.2759 -0.1065 -0.0821 -0.2678 0.6683 
| -05445 0.0400 -0.1084 -0.0359 -0.3452 -0.3803 -0.0954 -0.1358 -0.0747 -0.2187 -0.4110 
| 00769 0.2132 -0.1562 0.0473 -0.1838 -0.6245 -0.0165 -0.1359 0.2788 0.4413 0.2665 3.35 
| -00891 0.2692 -00401 0.1669 0.5622 0.2822 0.0791 -0.0521 -0.5965 0.2333 0.0884 BP ELM AFSA-ELM 本 文 方法 
| 02473 -04012 -0.0041 0.2227 -0.2908 -0.5565 -0.2535 -0.0005 -0.3858 0.1392 -0.2969 
| 03315 -0.1649 -0.1482 -0.4015 0.3719 0.0480 -0.2822 -0.0369 0.4429 0.1136 -0.0589 
| -03194 O1615 -0.5737 0.2524 -0.2139 -0.1697 -0.6757 -0.3392 (0.6766 0.2915 0.7573 
| 05514 -04774 -0.5548 -0.6329 -0.2020 -0.0629 -0.3610 0.3444 0.2045 0.0208 0.1763 昔 天 |、 Pal wt 
| 03775 -0.0817 0.0266 -0.0409 -0.0755 -0.5404 0.2305 0.0902 -入 2038 -0.1970 | 0.0804 图 7 多 种 模型 训练 时 间 对 比 
\ 03787 0.2429 -0.3257 0.2407 0.8966 0.0064 0.5692 -0.0780 03413 -03571 J 0.0000 


四 种 模型 对 应 的 测试 时 间 如 图 8 所 示 。 
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8 多 种 模型 测试 时 间 对 比 


对 DoS、U2R、R2L、Probe 攻 


本 文 方法 


图 9 为 本 文 实验 ELM、AFSA-ELM、GSA-AFSA-ELM 这 
三 种 系统 分 别 


的 检测 率 ， 其 


中 Dog 攻击 的 检测 率 最 高 ， 可 以 达到 96.90% 以 上 ， 对 于 R2L 


的 检测 率 达 到 
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3.2 算法 性 能 


86.27%。 


50 


PROBE 


9 三 种 系统 检测 率 对 


对 


TE 
CC 


分 析 


3.2.1 实验 数据 描述 


为 了 验证 本 文 算法 在 工业 


空 制 领域 的 适用 


性 ， 


风力 发 电场 获取 的 数据 为 基础 ， 对 本 文 算法 进行 性 能 分 析 。 图 
10 为 某 风 力 发 电场 的 数据 采集 与 同步 系统 架构 拓扑 图 。 
Nordex 监控 主机 MADE 监控 主机 


升 压 站 
数据 服务 器 


查询 终端 
生产 管理 系统 
服务 器 
-Ee 互联 网 A 
合法 用 户 
图 10 数据 采集 与 同步 系统 架构 拓扑 图 
表 3 为 某 风 力 发 电场 web 发 布 的 部 分 数据 。 


Chin 
等 ， 工 业 控制 网络 通信 民 这 出 品 必 迷 


naXiy 合 作 期 于 


陈 万 志 ， 法 
表 3 部 分 采集 数据 
风机 编号 风机 名 称 额定 功率 (x3) 当前 风速 m/s) 当前 功率 GE) 

1 MaDE-01 呈 风机 G60EW 7.9 134.6 

2 MADE-02 吕 风机 B60EW 9 0.0 

] MDE-03 号 风机 B60EW 生生 151.3 

4 MaDE-04 呈 风机 660EKW 7.6 12: 
MaDE-05 吕 风机 660KW 6.9 6 

6 MDE-06 呈 风机 660KW 6.4 0.0 
MaDE-07 呈 风机 660KW 6.7 99.0 

8 MDE-08 号 风机 660KW 0.0 0.0 

9 MaDE-09 呈 风机 660KTW 7T6 59.7 

10 NORDEX-10 吕 风机 GOOEW 7.4 276.33 

11 NORDEX-11 吕 风机 600KT 7.0 93.55 

12 NORDEX-12 号 风机 600EKW 6.7 80.07 

13 NORDEX-13 呈 风机 600EW 47.31 

14 NORDEX-14 吕 风机 E00EW [1 156.7 


3.2.2 实验 参数 设 定 及 数据 分 析 
从 某 风 力 发 电场 获取 数据 147 条 ， 其 中 正常 数据 为 98 

条 ， 异 常数 据 为 49 条 。 首 先 利 用 python 软件 对 147 个 样本 3 
0 个 特性 进行 主 成 分 分 析 。 通 过 计算 最 终 确定 提取 10 个 特性 
作为 主 成 分 。 构 造 单 隐 层 前 馈 神经 网 络 ， 将 10 个 主 成 分 作为 
输入 层 节点 的 输入 ， 输 出 层 为 5 个 节点 ， 分 别 为 正常 数据 、D 
0S 攻击 、 中 间 人 攻击 、 内 部 攻击 和 端口 扫描 。 其 余 参 数 设 置 
与 上 文 相 同 。 


对 于 在 工控 系统 采集 到 的 147 条 数据 ， 其 中 102 条 作为 训 
练 集 ， 训 练 集 包含 54 条 正常 数据 和 48 条 异常 数据 ;45 条 作 
为 测试 集 ， 测 试 集中 包含 31 条 正常 通信 数据 和 17 条 异常 通信 


数据 。 

现 将 本 文 方法 与 AFSA-ELM、ELM、BP 网 络 进行 对 比 ， 
利用 工控 系统 采集 到 的 数据 对 其 进行 训练 ， 并 产生 预测 结果 ， 
对 比 结果 见 图 11 。 
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本 文 实验 ELM、AFSA-ELM、 本 文 方法 这 三 种 系统 分 别 
对 DoS、 中 间 人 、 内 部 、 端 口 扫描 攻击 的 检测 率 ， 其 中 DoS 
攻击 的 检测 率 最 高 ， 可 以 达到 87.31% 以 上 ， 对 于 内 部 攻击 的 
检测 率 达 到 84.24%。 图 12 为 这 三 种 系统 对 各 个 攻击 的 检测 
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本 文 针对 工业 控制 网 络 入 侵 检测 问题 提出 一 种 主 成 分 分 析 
及 GSA-AFSA-ELM 神经 网 络 的 通信 异常 检测 方法 。 根 据 本 系 
统 的 工作 流程 可 知 该 方法 有 以 下 优势 ， 主 成 分 分 析 用 于 提取 数 
据 的 主要 特征 分 量 ， 常 用 于 高 维 数据 的 降 维 ， 简 化 复杂 问题 。 
ELM 极限 学 习 机 相 比 于 BP 神经 网 络 ， 学 习 速 度 快 、 泛 化 性 能 
好 。 在 训练 过 程 中 ELM 算法 无 须 调整 ， 只 需 设 置 隐 含 层 神经 
元 的 个 数 ， 便 可 获得 唯一 的 最 优 解 。 利 用 GSA-AFSA-ELM 方 
法 可 实现 异常 通信 行为 的 预测 。 实 验 结果 表明 ， 本 文 算法 能 
有 效 地 检测 网 络 数 据 中 的 异常 行为 ， 异 常 检测 的 准确 性 提升 了 
3.51%， 有 效 地 缩短 了 0.609 4 s 的 检测 时 间 ， 实 现 了 利用 深度 
学 习 预 测 通信 行为 的 能 力 。 下 一 步 将 研究 采用 模糊 逻辑 实现 入 
侵 检 测 机 制 ， 并 重点 提升 检测 系统 的 容错 性 
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